iso9000:2015認證顧客溝通的內容和方式 4.1 溝通的內容 4.1.1 外部信息 a) 與顧客有關的溝通（如合同、訂單等）； d) 與供應商有關的溝通（如采購合同、訂單、進貨不合格等）； c) 與其他相關方的溝通（如政府監(jiān)管部門等）； 4.1.2 內部信息 a）公司質量方針、質量目標的溝通； b) 公司領導層的決議，包含經營管理目標、公司戰(zhàn)略規(guī)劃及發(fā)展方向等； c) 各種會議精神的傳達； d) 本公司經營、生產和管理過程中發(fā)現(xiàn)的異常信息，包括質量、進度、成本、員工意識等； e）有關經營管理績效及改進的溝通； f) 本公司重要事項的報告,重要事項主要指： 1）重大招、投標事項和合同評審； 2）重大合同項目的技術交底； 3）公司新產品開發(fā)進程、試驗、確認情況； 4）重要顧客對公司現(xiàn)場考評； 5）重大產品質量事故； 6）重大人身傷亡和設備損壞事故； 7）重大生產或管理項目的整改結果。 g）其他需要溝通的日常工作 4.2 內部溝通的主要方式 a) 口頭（含電話）方式溝通──適用于需立即溝通或不需要留有證據(jù)的溝通事項； b) 書面方式溝通（含電子信息溝通）──包括：郵件、企業(yè)、通知/通報、會議紀要、溝通聯(lián)絡函、書面報告、公告欄以及各程序文件中規(guī)定的用于相互傳遞的記錄； c) 會議方式溝通──公司需要定期召開或者臨時召開的會議 d) 其他方式溝通──如員工關愛訪談、員工績效面談、員工的合理化建議等。 4.3 外部溝通 4.3.1銷售部和成套綜合辦負責與客戶有關的溝通，詳見《與顧客有關的過程控制程序》； 4.3.2采購部負責與供應商有關的溝通，詳見《供應商管理控制程序》； 4.3.3 其他相關方的溝通職責詳見《組織環(huán)境及相關方需求控制程序》； 4.3.4 以上部門負責相關信息的接收，并將接收到的信息進行處理和報告，必要時應保留書面材料，需要內部其他部門協(xié)助進行完成的，由信息接收部分負責組織協(xié)調。 4.4內部溝通 4.4.1會議溝通 4.4.1.1公司級例會：對于公司系統(tǒng)性工作采用例會的形式進行溝通，公司確定的例會內容及召開頻次要求如下： 例會名稱 會議主題 會議時間 負責人 參加人員 經營管理例會 經營管理工作總結、改進及下一步方向及計劃 每月一次 總經理 經理班子成員 管理 例會 對近一個月的管理工作進行總結、下一步工作部署、管理案例分享等 每月一次 管理/副總總監(jiān) 中高層管理者及后備管理干部 質量 例會 討論近一個月的質量情況、顧客投訴、質量案例等（成套和元件分開召開） 每月一次 管理者代表 技術副總 中高層管理者、車間/技術/質檢相關人員 生產 調度會 生產進度管理情況 每月一次 生產副總/總監(jiān) 生產管理中心相關管理人員以及采購、質檢、技術部門或其他相關部門人員 4.4.1.2部門級例會：部門級例會應保證每月至少召開一次，部門例會由部門經理主持，并留有《會議紀要》。 4.4.1.3 其他臨時性會議：臨時性會議由發(fā)起部門組織并通知會議議題內容、地點、時間、參加人員及會議主持人。根據(jù)會議內容及性質確定是否出具《會議紀要》。 4.4.1.4對于公司級例會，會后兩日內，由會議負責人安排人員將會議簡況、主要內容和會議精神進行整理，形成《會議紀要》，向會議負責人匯報后，將《會議紀要》或者相關的會議PPT上傳至OA，相關人員應及時查看，了解會議精神，執(zhí)行會議決定，會議負責人應對會議上做出決定的工作進行檢查，保證會議各項工作落實。有特殊要求的會議按照要求執(zhí)行。 4.4.2公司重要事項的溝通 公司重要事項應及時通過書面文件、公告、會議等形式溝通。 重要事項 提出報告部門 提出報告時間 報告上至人 報告下至人 報告方式 重要客戶參觀 接到通知部門 接到通知后及工作開展前1天 總經理 相關部門和人員 報告/通知 上級工作檢查及項目驗收 接到通知部門 接到通知后及工作開展前1天 總經理 相關部門和人員 報告/通知 重大合同 銷售部 成套綜合辦 得到可靠信息1個工作日內 總經理 合同評審的相關人員 報告/通知 重大項目技術交底 技術部 交底前 技術副總/總工 相關部門 報告 新產品 開發(fā)進度 技術部 重要節(jié)點 總經理及有關 副總經理 相關部門、車間 報告 重大質量事故 技術部/質檢部 當下口頭報告，三日內出書面報告 總經理 管理者代表 有關人員 分析報告 重大事故 生產部 當下口頭報告，三日內出書面報告 總經理/負責人/人事負責人 相關人員 調查報告 重大設備事故 生產部 當下口頭報告，三日內出書面報告 總經理 及生產副總 相關人員 調查報告 重大生產、 管理項目整改 主管部門 事前請示，整改完畢后書面報告 總經理 生產/管理副總 相關人員 工作總結 4.4.3員工意見和投訴溝通 4.4.3.1員工意見和投訴主要包含兩方面的內容： a）一是合理化建議。合理化建議是指任何員工個人或集體針對公司生產、經營或管理的任何環(huán)節(jié)所提出的具有可操作性的改進方法和措施。 b）二是員工投訴。員工投訴主要是指任何員工個人或集體針對公司生產、經營或管理的任何環(huán)節(jié)所提出的抱怨和不滿以及改進建議。 4.4.3.2針對合理化建議 公司合理化建議貫徹“全員參與” 的基本原則，以確保公司的持續(xù)改進，并對提出合理化建議的員工實施獎勵。 4.4.3.3針對員工投訴： 員工投訴的方式可以采用：直接投訴、電話/短信投訴、郵件投訴、意見箱投訴等，企管部負責員工投訴的處理，并根據(jù)員工投訴的情況進行調查，結合事件的影響程度以及公司的現(xiàn)狀作出是否需要改進的決定。所有員工投訴的內容應登記公司投訴臺賬，并上報公司總經理。

ISO27000認證體系建立和運行步驟 ISO27001標準要求組織建立并保持一個文件化的信息管理體系，其中應闡述需要保護的資產、組織風險管理的渠道、控制目標及控制方式和需要的保證程度。 不同的組織在建立與完善信息管理體系時，可根據(jù)自己的特點和具體情況，采取不同的步驟和方法。但總體來說，建立信息管理體系一般要經過下列四個基本步驟：信息管理體系的策劃與準備；信息管理體系文件的編制；信息管理體系運行；信息管理體系審核與評審。 如果考慮認證過程其詳細的步驟如下： 1. 現(xiàn)場診斷； 2. 確定信息管理體系的方針、目標； 3. 明確信息管理體系的范圍，根據(jù)組織的特性、地理位置、資產和技術來確定界限； 4. 對管理層進行信息管理體系基本知識培訓； 5. 信息體系內部審核員培訓； 6. 建立信息管理組織機構； 7. 實施信息資產評估和分類，識別資產所受到的威脅、薄弱環(huán)節(jié)和對組織的影響，并確定風險程度； 8. 根據(jù)組織的信息方針和需要的保證程度通過風險評估來確定應實施管理的風險，確定風險控制手段； 9. 制定信息管理手冊和各類必要的控制程序 ； 10. 制定適用性聲明； 11. 制定商業(yè)可持續(xù)性發(fā)展計劃； 12. 審核文件、發(fā)布實施； 13. 體系運行，有效的實施選定的控制目標和控制方式； 14. 內部審核； 15. 外部 階段認證審核； 16. 外部第二階段認證審核； 17. 頒發(fā)； 18. 體系持續(xù)運行/年度監(jiān)督審核； 19. 復評審核（三年有效）。 至于應采取哪些控制方式則需要周密計劃，并注意控制細節(jié)。信息管理需要組織中的所有雇員的參與，比如為了防止組織外的第三方人員非法進入組織的辦公區(qū)域獲取組織的技術機密，除物理控制外，還需要組織全體人員參與，加強控制。此外還需要供應商，顧客或股東的參與，需要組織以外的專家建議。信息、信息處理過程及對信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡都是重要的商務資產。信息的保密性、完整性和可用性對保持競爭優(yōu)勢、資金流動、效益、法律符合性和商業(yè)形象都是至關重要的。 當前，越來越多的組織及其信息系統(tǒng)和網(wǎng)絡面臨著包括計算機詐騙、間諜、蓄意破壞、火災、水災等大范圍的威脅，諸如計算機病毒、計算機入侵、DoS攻擊等手段造成的信息災難已變得更加普遍,有計劃而不易被察覺。組織對信息系統(tǒng)和信息服務的依賴意味著更易受到威脅的破壞，公共和私人網(wǎng)絡的互連及信息資源的共享增大了實現(xiàn)訪問控制的難度。 許多信息系統(tǒng)本身就不是按照系統(tǒng)的要求來設計的，所以僅依靠技術手段來實現(xiàn)信息有其局限性，所以信息的實現(xiàn)必須得到管理和程序控制的適當支持。確定應采取哪些控制方式則需要周密計劃，并注意細節(jié)。信息管理至少需要組織中的所有雇員的參與，此外還需要供應商、顧客或股東的參與和信息的專家建議。